PapelH¿Cuántas veces hemos oído utilizar el término “política de privacidad”? Que si una web tiene o no tiene política de privacidad, que si hay que indicar en la política de privacidad tal o cual cosa… Pues tengo una mala noticia: en la legislación española NO existen las políticas de privacidad tal y como se han venido entendiendo desde hace un tiempo en el gremio.

Suelen aparecer esas políticas después de llegar a ellas desde un enlace que en muchas ocasiones está escondido a pie de página de inicio. Cuando las tienes delante, te das cuenta de que se trata de un conjunto de largos párrafos de información inútil e innecesaria, la mayoría simple copia de artículos de la Ley y Reglamento. Cuantas más cosas se pongan, mejor. Cada vez que leo alguno de estos engendros, pienso que es una justificación de minuta frente al cliente, porque ¿cómo se le explica que con colocar pequeños avisos en los formularios oportunos, y poco más, ya sirve? Así hay más letras juntas, y da la sensación de horas de trabajo de gabinete. Los hay que venden servicios al peso de las letras.

Es un término importado e impostado. Ya que no está en las normas, vayamos al Diccionario de la RAE a ver si nos da una pista o nos ayuda. Entre las diversas acepciones encontramos que define política como las “orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto determinado”. ¿Cuáles son las orientaciones y directrices que rigen la actuación del responsable, o de cualquier otro, que recoja y trate datos? Por esta definición parezca que la entidad puede optar o decidir qué hace o qué no, y de qué manera, nada más lejos de la realidad.  La Ley y el Reglamento, básicamente, son esas orientaciones y directrices. Nuestro ordenamiento es taxativo en este sentido, y permite poco margen de maniobra.

Si algo tiene nuestro cuerpo normativo sobre protección de datos, es que deja pocos puntos a merced de las decisiones de quien los trata. Nuestro sistema normativo es muy claro en qué información hay que aportar al titular de los datos, y cuándo hacerlo, porque de ello depende que tengamos el consentimiento necesario para tratar datos. Por eso la información al titular de los datos es esencial. La información que hay que dar viene marcada por varios artículos de la L.O.P.D.:

  • Artículo 5:información en la recogida de los datos
  • Artículo 11, punto 3:información mínima que hay que proporcionar sobre el cesionario si se tiene prevista o se realiza una cesión de datos
  • Artículo 27:información que hay de proporcionar el responsable de fichero cuando efectúa la primera cesión de datos
  • Artículo 30, punto 2:información al destinatario de comunicaciones comerciales cuyos datos han sido obtenidos de fuentes accesibles al público

Hemos de sumar a éstos los artículos dedicados por el Reglamento a la obtención del consentimiento, donde impone ciertos deberes formales que no hacen sino complementar al artículo 5 de la Ley. Y si abandonamos la L.O.P.D., puede añadirse la obligación de informar que impone la L.S.S.I.C.E., que no es más que una remisión a la anterior para el caso de que se recojan datos de carácter personal, y además, en el caso de instalación y uso de “cookies”, qué información previa ha de darse: información clara y completa, y los fines de los tratamientos de datos que se pretendan realizar. Y no hay más, el resto es pura literatura.

Ninguna de esas diversas manifestaciones del deber de información debiera catalogarse como políticas de privacidad. Para dar una muestra de cómo debe informarse en páginas web podemos leer las más que añejasRecomendaciones al Sector del Comercio Electrónico redactadas por la AEPD en el año 2000, como consecuencia de una inspección sectorial. En concreto, en su Recomendación Primera (página 10), referente a la información en la recogida de datos, dice lo siguiente:

En todas y cada una de las páginas web desde las que se recaben datosde carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente.

Podrá optarse por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, se considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de accionesque deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

El subrayado y la negrita son míos. De verdad, qué recomendaciones aquéllas, de hace ya más de una década… Es que les pasa como a los vinos. Esto era Gran Reserva. Particularmente echo de menos en el haber de la AGPD documentos de esa claridad y utilidad, y no guías insulsas que se dedican a recopilar legislación, sus propias resoluciones y cuatro cositas más. Vino de mesa.

Es más fácil contagiarse de lo malo que imitar las virtudes ajenas. Sin embargo, hay razones para no seguir la moda de las susodichas políticas. La de más peso, que no existe obligación legal alguna, y que poco o nada aportan, salvo demostrar que el asesoramiento no es del todo correcto. La segunda, que además los titulares de los datos, en concreto los vascos, no las leen, comoayer contaban en Iurismática. Y finalmente y para colmo de males, si los usuarios las leyeran, el coste de oportunidad sería demasiado alto. Esto ya lo han demostrado en el país de las “políticas de privacidad”, e incluso comienza a haber iniciativas para acortarlas porque les empiezan a parecer inútiles.

Parece mentira que mientras ellos buscan cómo simplificar, nosotros, que tenemos algo simple, estamos intentando complicarlo.

PrecioImaginemos que tengo planeado un viaje a Tenerife con mis amigos en unas fechas próximas. Lo he comentado en mi perfil de Twitter, donde me han preguntado algunos de mis seguidores por el sitio. He colocado mi futuro viaje en mi perfil de Google+, para que me recomienden qué restaurantes son dignos de visita, y también en Facebook, donde además he seguido una interesante conversación con mis amigos sobre qué vamos a hacer cuando estemos por allí, y en qué fechas iremos.

Ahora pongamos que una ficticia empresa que vende por Internet paquetes vacacionales pudiera tener acceso a esa información, y la procesara cuando yo entrase a su página web en busca de billete de avión, hotel, o una reserva completa. ¿Sería honesto que me subieran el precio porque saben que es un plan ya decidido viajar a Tenerife? Y si al contrario, ya que tienen esa información con mis preferencias, ¿qué tal si me buscaran las mejores ofertas y el precio fuera más barato? ¿Qué pensáis que harían?…

A quien le suene a ciencia ficción, que se vaya preparando. De hecho, la discriminación de precios es una práctica cotidiana en el mundo real. Pensemos en los descuentos que se hacen en el cine a la tercera edad, o a los estudiantes por el mero hecho de serlo. El mismo bien (película) se cobra a diversos precios en función de las características del consumidor.

Aunque son unos ejemplos muy simples, pueden cogerse para ver qué va a pasar en el comercio electrónico. En ese caso, no sólo existe la posibilidad de seleccionar qué trato se les da a los clientes, como en el mundo real, sino que existe tecnología suficiente para afinar más todavía teniendo en cuenta nuestro comportamiento en Internet.

Los negocios on-line ya tienen capacidad para discriminar al usuario que tienen delante. La publicidad comportamental es un primer paso, porque escoge no ya al usuario, sino los bienes que le anuncia, en función de la información de que dispone. Lo siguiente que nos queda por ver es esta nueva discriminación, la que se realizará en el precio teniendo en cuenta toda la información que se tenga del usuario. A la tecnología de las “cookies”, hay que ir sumando la que permite hacer un seguimiento de los usuarios en las diversas redes sociales, como Twitter, Facebook o Google+. En muchas páginas web además nos permiten identificarnos con los mismos credenciales de acceso a esas redes, así que con eso se facilita la exploración y posterior explotación de nuestro perfil. Entrarán también en juego los elementos más insospechados, como puede ser el dispositivo desde el que compro, que puede denotar mayor o menor poder adquisitivo, el lugar geográfico desde donde compro, o las preferencias que haya manifestado en mis diversos perfiles “sociales” en conversaciones con mis amigos o seguidores.

La semana pasada guardé desde Twitter un post de un Blog de Yahoo con la siguiente noticia: ¿Utilizan las compañías aéreas las cookies para encarecer sus billetes?  Es interesante el relato, ya que denuncia una posible maniobra de las webs de venta de billetes de avión para aumentar el precio en caso de que consultemos otras para comparar y retornemos después en busca del mismo billete. El autor finaliza el artículo justificando que los cambios de precio no obedecen a oscuras conspiraciones, sino a que se han ido agotando las plazas, y claro, a menos plazas, mayor precio. Puede ser, pero ¿qué tal después de leer lo anterior?

Me pongo en el lugar de un usuario. Si he sido bien informado, y he aceptado que una empresa recopile información sobre mí no ya sólo en mis visitas a su página web, sino también recopilando información de las redes sociales… ¿es esto lícito? ¿aceptaría esas condiciones? Que me bajen precios no es problema, pero ¿voy a enterarme de si el precio que me ofrece es igual o diferente del que está ofreciendo a otros usuarios? Esa web que estoy visitando, ¿la ve igual otro usuario, con los mismos productos, o me están mostrando la que consideran conveniente, quizá con todo más caro…? Muchas incógnitas, y lo que es más fácil, es posible que no me entere de que está sucediendo por que no se me cuente toda la verdad.

Es viejo el asunto en el mundo analógico, no así en el digital. Agradecería que si alguno tenéis información o fuentes sobre discriminación de precios y privacidad, lo compartáis en los comentarios.

Como curiosidad, buscando información sobre la discriminación de precios y privacidad me he encontrado con una noticia de 1999 del New York Times(¡…!) en la que se cuenta que Coca-Cola estaba investigando una tecnología para que las máquinas expendedoras subieran ellas solitas el precio de las bebidas en función de la temperatura.Coca-Cola

Este sí que es un reto que se nos presentará en breve a los profesionales de la privacidad. ¿Cómo asesorar correctamente a la empresa que quiere poner a funcionar un sistema de este tipo?… ¿es lícito?… ¿cómo hay que informar al usuario?…

Así que nada, cada vez que hagamos “clic” en un “Me gusta” de Facebook, a pensar que quizá nos meterán la mano en el bolsillo sin que nos estemos enterando la próxima vez que compremos en Internet.